Требования комплаенса для критической инфраструктуры
Энергетические компании и коммунальные предприятия классифицируются как операторы основных услуг (OES) в рамках директивы ЕС NIS2 — что обязывает их выполнять требования по управлению рисками кибербезопасности, отчётности об инцидентах и безопасности цепочек поставок. Несоблюдение грозит административными штрафами до 10 миллионов евро или 2% глобального оборота по NIS2.
Директива NIS2 — ключевые обязательства
- Меры управления рисками кибербезопасности, соразмерные рискам
- Отчётность об инцидентах: значительные инциденты — в национальный CSIRT в течение 24 часов, полный отчёт — в течение 72 часов
- Безопасность цепочки поставок — оценка практик безопасности поставщиков и провайдеров услуг
- Меры непрерывности бизнеса — управление резервными копиями, аварийное восстановление, управление кризисами
- Ответственность руководства — NIS2 явно возлагает персональную ответственность на руководящие органы
Согласование ISO 27001 и NIS2
ISO 27001:2022 обеспечивает наиболее полную основу для выполнения требований статьи 21 NIS2 по управлению рисками кибербезопасности. Программа готовности к NIS2 от BALTUM сопоставляет контроли вашей СУИБ ISO 27001 с обязательствами NIS2 — выявляя пробелы и предоставляя приоритизированную дорожную карту устранения, согласованную со сроками транспозиции NIS2 в вашем государстве-члене.
Безопасность ОТ и АСУ ТП
Энергетические и коммунальные организации сталкиваются с дополнительным вызовом безопасности операционных технологий (ОТ) и промышленных систем управления (АСУ ТП) — областей, которые не полностью покрываются ИТ-ориентированными стандартами. BALTUM работает со специалистами по аудиту ОТ для расширения области применения ISO 27001, включая среды SCADA, DCS и АСУ ТП, со ссылкой на стандарты IEC 62443 где применимо.